Wie kann ich auf Windows 10 bei einem Ordner ALLE berechtigungen entfernen?
Hallo,
Damit meine ich das Niemand diesen Ordner öffnen oder löschen kann (außer man benutzt die cmd/Powershell)
2 Antworten
Man kann alle Berechtigungen eines Ordners löschen indem man alle vom übergeordneten Ordner ererbten Berechtigungen entfernt.
Das ist recht simpel: Demo.cmd:
@echo off
chcp 65001
rem erzeuge ordner zum testen
md "test"
rem inhalt des Ordners anzeigen
dir "test\*"
rem alle vom übergeordneten Ordner geerbten berechtigungen entfernen
icacls "test" /inheritance:r /t
rem inhalt des Ordners erneut anzeigen
dir "test\*"
rem versuchen ordner mi dem Explorer zu öffnen
start "" "test"
echo Beliebige Taste drücken um geerbte Berechtigungen wiederherzustellen...
pause>nul
rem alles wie vorher...
icacls "test" /reset /t
pause
Du wirst dich fragen warum das ganze völlig ohne Adminrechte abläuft?
...ganz einfach, wer die Datei/Ordner erzeugt, bleibt auch der Besitzer, dieser hat immer zumindest die Berechtigung Berechtigungen zu bearbeiten.(cooles Wortspiel 😆)
Natürlich könnte ich auch noch den Besitzer ändern, das wäre nur eine weitere Zeile.... aber auch hierbei wäre es simpel den Besitz wieder zu übernehmen.
Letztlich gibt es keine Möglichkeit eine Datei völlig aus dem Dateisystem herauszulösen. Irgendwer muss letztlich immer die Möglichkeit haben darauf zuzugreifen.
Obiges Beispiel ist zumindest eine Möglichkeit einen Ordner vor jedem direkten Zugriff zu schützen.
Und wie kann ich für "Jeder" keine rechte machen? (hatte in der cmd was von N oderso gelesen)
bzw. das jeder nur ausführen kann und nicht lesen/schreiben (also mit einer batch z.b. start verzeichnis/datei und sonst nix)
Hast Du dir mal die Rechte von "Gast" angesehen? Dieses Nutzerprofiel hat nahezu keine Rechte.
Man kann nicht einfach einem Nutzer das Recht geben ein Programm zu starten und ansonsten die Rechte für damit verbunden Dateien entziehen. Irgendwie hast Du Dich in ein völlig falsches Gedankenshema verrannt.
Wir schreiben schon eine Weile hin und her. Auch wenn ich manchmal abwarte wie sich eine Frage entwickelt, lese ich zumindest mit...
Mir stellt sich inzwischen die Frage, warum Du jemanden an Deinen Rechner lässt, dem Du absolut kein Vertrauen entgegenbringst.
Ein ganz normales Benutzerkonto (ohne Adminrechte). Bietet ausreichend Schutz um keine schreibenden Aktionen auf das System auszuführen. Ansonsten kannst Du darüber hinaus in Datei/Ordner -> Einstellungen/Sicherheit einzelne Benutzer mit Name einem Ordner/Datei hinzufügen und Rechte verbieten.
Verbote haben Priorität vor Berechnungen . Du kannst für "Benutzer" den Zugriff erlauben, wenn Du "Karl" (der auch nornaler Benutzer ist) den Zugriff verbietest kann dieser eben nicht mehr Zugreifen.
Dir jetz komplett Systemadminstration zu lehren würde einfach zu weit gehen, sowas habe ich mir über 30 Jahre selbst beigebracht.
(Ich warte u.a Firmenrechner, dafür werde ich geholt und bekomme meinen Salär)
Da ich nicht vor Deinem Rechner sitze und sehe worum es geht , kann ich auch nicht mehr als ein paar sehr allgemeine Demos schreiben.
Wenn ich per Batch im Blindflug irgendwelche Veränderungen an Deinem Rechner vornehmen würde, wäre ich eine größere Gefahr, als jeder Möchtegernhacker.
Das ganze noch über ein Forum wie dieses zu tun...? ...hier lesen auch genug unnette Leute mit.
Im Prinzip hatte ich schon Skrupel obige Batch öffentlich zu machen, da man statt des Ordners "Test" auch ein ganzes Nutzerprofiel abschießen kann, was brisanter ist, als die üblichen Scherze.
Eigentlich möchte ich einen Ordner machen mit einem Programm drin. Dieses Programm soll man starten können aber halt keine Dateien löschen können sondern nur erstellen zumindenst nicht löschen ohne wissen.
Alle unter "Programme" und Programme(x86) erstellten Ordner erfüllen Deine Voraussetzung. Du kannst als normaler Nutzer Programme starten, jedoch innerhalb dieses Ordners keine Daten verändern. Genau das ist der Grund, warum Du vor jeder Installation um Adminrechte gebeten wirst!
Ansonsten....
Beschäftige dich mit https://ss64.com/nt/icacls.html. Der Befehl icacls ist ein zu mächtiges Instrument, um damit im "Blindflug" per Batch Zugriffsrechte zu manipulieren.
Obige Demo war so ziemlich die äußerste Grenze dessen, was ohne Wissen über ein fremdes System zumutbar ist.
Es ist etwas anderes , vor einem Rechner zu sitzen und selbst bei unerwünschten Ereignissen eingreifen zu können.
Ich möchte es ja mit icacls machen nur leider hat dann erstmal keiner rechte und niemand kann es ausführen deshalb brauche ich es ja mit dem ausführen aber ohne löschen (Ich würde es gerne möglichst ohne Adminrechte machen)
verrückte frage. :)
wenn niemand berechtigt ist, kann auch niemand mehr (auch mit powershell) die rechte nochmals für einen zugriff anpassen.
abgesehen davon kann der ordner nicht mehr von einem antivirusprogramm oder backup programm verarbeitet werden, was meist unerwünscht ist.
sinnvoller waer es an der stelle, die daten auf einem verschlüsseltem passwort geschützten externen datenträger oder zip archiv zu speichern ;)
Der Besitzer hat immer die Rechte Rechte zu vergeben. Existiert der Besitzer nicht mehr im System, kann man den Besitz übernehmen...
ps: die Fehlermeldung von icacls nach entziehen der Vererbung ist nicht wirklich in Fehler. icacls versucht auch evtl. Objekte im Ordner einzubeziehen, wofür plötzlich die Rechte fehlen :p